"Kui vaadata Apotheka kliendiandmete kogumise ja töötlemise põhimõtteid, siis on see väga udune. Näiteks kogutakse seal kolme sorti andmeid: kliendi, kauba ja teenuste ostuandmed, mis on niivõrd lai mõiste, et see tähendab põhimõtteliselt kõiki andmeid," sõnas Sarv.

"Mõõtsite vererõhku, lasksite vaktsineerida – kas ka need andmed edastatakse kuhugi, ja mille alusel? Andmete kogumine ja edastamine apteekidest ja ka tervishoiuteenuste osutajatelt, on väga udune ja hall ala. Kui inimene käib apteegis, siis see on automaatselt eriliigiline teave rahvusvaheliste põhimõtete järgi," rääkis Sarv.

Sarv nimetas suureks pahanduseks, et 700 000 kliendi andmed on kuhugi rändama läinud.

"Sealhulgas ka ravimiandmed, kuigi rõhutatakse, et retseptiravimite andmeid seal ei ole. Aga mis vahet seal on? Kui on mingisugused ravimiandmed, ka käsimüügiravimite andmed, siis on see väga tõsine asi," rääkis Sarv.

Sarv märkis, et hoolimata andmelekke ulatuslikkusest ei tajuta praegu apteekides, et kliendid oleksid sellest häiritud, kuid Eesti andmekaitseasutused peaksid asja väga tõsiselt võtma.

"Et inimeste eriliigilisi andmeid kuidagi kogutakse, edastatakse, säilitatakse, lekitatakse – ametkondade poolt vaadates on see ikkagi väga tõsine küsimus, sest õiguslik alus [andmete kaitseks] on küll olemas, aga see on kõik väga hägune," rääkis Sarv.

"Andmekaitse Inspektsioon on teatanud, et ta üksikjuhtumitega ei tegele, vaid tegeleb süsteemsete küsimustega. Ma ootaksin, et praeguse Apotheka juhtumi taustal hakatakse seda olukorda kuidagi paremini hindama, aga mulle tundub, et ka see asi ei paku mitte kellelegi huvi. See asi on suhteliselt mäda," sõnas Sarv.

Juriidiline tagauks andmete juurde

Sarve sõnul tekib küsimus, kes on selles andmelekke võrrandis üldse Apotheka.

"Andmeid väljastas konkreetne apteek, osaühing, Allium UPI-le. Aga kas see apteek üldse teadis, mis andmeid ta edastas? Teoreetiliselt on kogu tema tegevus, mis on arvutis, kõik, mis kliendiga toimub, Allium UPI-le edastatud. Seda peaks AKI uurima, millisel õiguslikul alusel saab keegi kolmas osapool, kes nimetab ennast kliendiandmete halduriks, hakata apteekidest andmeid küsima," rääkis Sarv.

Sarve sõnul valitseb apteekidest andmete kogumisel ka kahepalgelisus: kui apteeker tahaks uurida, milliseid ravimeid kasutatakse mingitel kindlatel juhtudel või milliseid ravimeid kasutatakse valu puhul, siis sellise uuringu tarbeks on vaja bioeetika komitee luba.

"Seal peab apteeker tõendama, milleks ta andmeid kasutab, milliseid andmeid, millisel õiguslikul alusel – see on paras kadalipp ka siis, kui tahad väga lihtsat asja uurida. Aga nüüd mingisugune firma lihtsalt kogub sisuliselt kõikide Eesti inimeste andmeid ja töötleb neid, edastab ei tea kellele ja säilitab neid mitte anonümiseeritult, vaid isikustatult veel 10 aastat pärast sündmust. Mille jaoks?" rääkis Sarv.

Sarve sõnul on siin tegemist juriidilise tagauksega.

"Kui nimetan ennast kliendiprogrammi pidajaks, siis mul on õigus koguda inimeste terviseandmeid ja neid töödelda mingi väga hägusa nõusoleku alusel, mis on saadud ebaselgelt. Eriliigiliste andmete puhul peab nõusolek nende andmiseks olema sõnaselge, et milliseid andmeid ja kellele ja milleks antakse," sõnas Sarv.

Samuti peab Sarv problemaatiliseks, et Eestis on ristkasutuses apteegi ja kaupluste kliendikaardid. Benu apteekide frantsiisijuhi Rainer Kasevälja sõnul saavad Benu apteekides kliendid Rimi kaardiga küll soodustusi, ent see põhineb tehnilisel lahendusel, mis ei sisalda kliendiandmete edastamist ei Benu apteekide poolt Rimile või Rimilt Benu apteekidele.

AKI: müügiandmed on ettevõtte info

Andmekaitse Inspektsioonist öeldi Allium UPI-i andmelekke kommentaariks, et olukord on tõsine ja amet töötab sellega iga päev.

AKI sõnul johtub ettevõtte töökorraldusest, et Apotheka kaubamärgi alla kuuluvate apteekide kliendiandmeid töötleb ettevõte Allium UPI. "Apotheka frantsiisi taga seisabki ettevõtte Allium UPI OÜ. Apotheka ei kogu andmeid – Apotheka on kaubamärk. Ka Apotheka lehel olevas andmekaitse töötlemise põhimõtetes on välja toodud, et Allium UPI OÜ on vastutav töötleja," sõnas AKI avalike suhete nõunik Grete Lehemaa.

Küsimusele, kas klientide poolt Apotheka apteekidest ostetud retseptiravimite müügiandmed on samuti jagatud mõne ettevõttega, vastas Lehemaa, et müügiandmed on ettevõtte info. "Müügiandmed ja majandusaruanne ei pruugi tähendada, et seal on ka andmed retseptiravimite kohta. Kindlasti on ettevõtetel läbilõiked, mida ja kui palju ostetakse, aga sellisel juhul ei tohi need olla isikustatud kujul ja sellel ei oleks ka eesmärgi täitmisel olulist rolli," sõnas Lehepuu.

Küsimusele, miks on Eestis lubatud ristkasutuses kliendikaardid ka siis, kui üks müügiasutus – apteek – valdab delikaatset teavet, vastas Lehepuu, et seda ei ole reguleeritud, sest andmekaitset see ei tohi mõjutada.

"Andmed peavad olema kaitstud ja isikuandmete kaitse üldmäärusele vastavalt hoitud ikka," sõnas Lehepuu.

Kuna tegemist on menetlust puudutava infoga, ei saanud AKI kommenteerida, miks hoidis Allium UPI alles ka kümme aastat tagasi, aastal 2014, kogutud kliendiandmeid.

Allium UPI OÜ omanikfirma, Margus Linnamäele kuuluva AS-i Magnum infojuht Martin Aadamsoo põhjendas andmete pikaajalist säilitamist sellega, et ettevõttesiseste reeglitega on andmete säilitamise aeg 10 aastat.

Allium UPI ja apteekide seost kirjeldades ütles Aadamsoo, et Allium UPI OÜ on Apotheka kliendiprogrammi haldaja, kes hoiab kliendiprogrammiga seotud andmeid.

"Apteegid koguvad andmeid kliendiprogrammi raames, võimaldades klientidel registreeruda kliendiks ning soovi korral lõpetada kliendistaatust apteegis," ütles Aadamsoo.

Kliendiprogrammi raames ei koguta ega säilitata andmeid retseptiravimite kohta, kinnitas Aadamsoo. "Sellest tulenevalt ei saa neid kellegagi ka jagada," ütles ta.

4. aprillil sai avalikkus teada, et iga teise eestlase isikukood, ostuinfo ja kontaktandmed lekkisid apteegi- ja haiglakaupadega tegeleva Allium UPI süsteemist. Ettevõte haldas Apotheka, Apotheka Beauty ja Pet City kliendikaardi omanike andmeid. Kriminaalmenetlust alustati paragrahvi järgi, mis käsitleb arvutisüsteemile ebaseaduslikult juurdepääsu hankimist. Kriminaalmenetlust viib läbi keskkriminaalpolitsei küberkuritegude büroo ja juhib riigiprokuratuur. AKI peadirektori Pille Lehise sõnul näitas Allium UPI andmelekke juhtum, et andmete kaitsmine on ettevõtjatele teisejärguline teema.